¿Es realmente necesario para la seguridad iniciar sesión en una página separada?

3

Trabajando en un sitio web público donde el formulario de inicio de sesión se encuentra en una página separada en su propio subdominio. Uno de nuestros principales objetivos en este momento es tratar de promover que los usuarios inicien sesión en el sitio con más frecuencia. Naturalmente, mi primera sugerencia fue que deberíamos hacer que el formulario de inicio de sesión (entradas de nombre de usuario y pwd) estuviera disponible directamente desde el encabezado del sitio principal.

El responsable del sistema de inicio de sesión me dijo que esto estaba fuera de discusión. Como tenemos muchos scripts de terceros (anuncios, etc.) en el sitio principal, sería un riesgo de seguridad tener acceso al formulario de inicio de sesión en cualquier lugar. en la pagina principal El inicio de sesión debe permanecer en una página separada donde no hay scripts de terceros. La visualización de la página de inicio de sesión dentro de un iframe en el sitio principal no era una opción.

Confío en él, pero sólo quería volver a comprobar. ¿Realmente no hay manera de tener un sitio seguro con scripts de terceros y entradas de nombre de usuario y contraseña accesibles directamente en la página? ¿Cualquier sitio con anuncios debe considerarse inseguro si el formulario de inicio de sesión no se encuentra en una página separada?

    
pregunta Drkawashima 30.08.2017 - 23:11
fuente

1 respuesta

1

Estoy de acuerdo con él en que esto es una preocupación, hay dos formas de mitigar esto:

  • No cargar scripts de partes externas
  • Ejecutarlo en una página separada sin scripts de terceros en ninguna de las páginas de administración

Los scripts de terceros, especialmente los anuncios, a veces son susceptibles de ser secuestrados por entidades malintencionadas. Hay dos riesgos principales asociados con la ejecución de este script:

  • Alguien podría inyectar un formulario de phishing para falsificar sus credenciales
  • Alguien podría usarlo para robar la información de su sesión

Además, para la mayoría de los sitios web confidenciales, incluso recomendamos restringir las páginas administrativas solo a ciertos rangos de red. Preferiblemente, no deberían ser accesibles desde Internet.

    
respondido por el Lucas Kauffman 31.08.2017 - 02:21
fuente

Lea otras preguntas en las etiquetas